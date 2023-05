Das Jimbo-Protokoll sollte ein natives DeFi-Token preisstabiler machen. Nach einem Hack stürzt das Token aber um 40 Prozent ab.

Jimbo ist ein DeFi-Protokoll, das ausschließlich auf dem Rollup Arbitrum läuft, der führenden L2 von Ethereum. Nun fiel Jimbo einem Hack zum Opfer.

Der Slogan von Jimbo ist “Reactive Concentrated Liquidity”, und auch wenn das eher exotisch klingt, lohnt es sich, nachzuvollziehen, was Jimbo macht.

This hack is due to the lack of slippage control of liquidity-shifting operation — such that the protocol-owned liquidity is invested into a skewed/imbalanced price range, which is exploited in… https://t.co/wnQAeksojz pic.twitter.com/TPlqNlvnZD

It appears today's @jimbosprotocol hack leads to the 4090 ETH loss (w/ ~$7.5M).

Die meisten DeFi-Protokolle haben mittlerweile native Token. Diese Token werden oft als Ertrag ausgeschüttet, wenn man andere Token verleiht oder Liquidität für den Wechsel von Token bereitstellt. Manchmal bekommt man einen Bonus, wenn man die Zinsen in den Token bezieht, manchmal muss man Liquidtätstoken selbst staken. Es gibt mehrere Modelle, aber sie haben alle eines gemeinsam: Die Token helfen den Entwicklern, ihre Arbeit zu finanzieren – verlieren im Lauf der Zeit aber an Wert gegen Ether.

„Sie können mit einer schicken Token-Ökonomie und komplexen Staking-Modellen starten, aber letzten Endes führt kein Weg den den Problemen vorbei, die entstehen, wenn das Angebot der Token zu groß, die Nachfrage zu gering ist und es an Liquidität mangelt,“ formuliert es die Dokumentation von Jimbo.dem

Um die Lebensdauer solcher Token zu verbessern, wurden verschiedene Anreize und Mechanismen entwickelt. So hat Olympus etwa versucht, die eigenen Token zu kollateralisieren und die Marktliquidität zu verbessern. Andere Modelle wie JayPegger oder White Lotus bieten Auslösemechanismen, die einen bestimmten Wert gewährleisten, und arbeiten mit einer abnehmenden Gesamtmenge der Token. Doch bisher sind alle diese Ansätze gescheitert: Ein Protokoll schafft keine Werte – Menschen schaffen sie.

Jimbo versucht es dennoch. Das Resultat ist ein Ergebnis der Beschäftigung mit den bisherigen Versuchen. Das Token – ausdrücklich als Proof of Concept, also Test bezeichnet – soll langfristig seinen Wert gegen Ethereum halten. Es soll einen stabilen Preisfloor, also Bodenpreis, bilden. Der Schlüssel dazu ist laut Dokumentation die Liquidität. Also rebalanciert Jimbo die Liquidität in Ether und Jimbo-Token, die das Protokoll verwaltet, in regelmäßigen Abständen. So bleibt das Währungspaar liquide, Kapital kann effektiv genutzt und Preise klar erkannt werden.

Doch offenbar war das Protokoll nicht vollständig ausgereift. Falls das überhaupt möglich ist. Es fehlte ein Kontrollmechanismus für die “Slippage” beim Umwandeln von Liquidität. Die Slippage meint eine Art Preisrutsch, wenn eine großer Order auf ein dünnes Orderbuch trifft.

Ein Hacker hat dies nun ausgenutzt: Im ersten Schritt hatte er mit einem Wechsel das Token-Paar WETH und JIMBO außer Balance gebracht. Dies zwang das Protokoll, seine Liquidität zu rebalancieren. Dabei aber kaufte es in durcheinander geratene Preise ein und machte ein Verlustgeschäft. Mit einem “reverse Swap” konnte der Hacker dann die Verluste des Protokolls zu seinen Gewinnen machen.

Wie so viele DeFi-Hacks ist auch dieser technisch und ökonomisch sehr ausgefuchst. Der Hacker musste den Code des Protokolls nicht nur bis ins Detail kennen, sondern auch in der Lage sein, dessen ökonomische Funktionsweise exakt nachzuvollziehen.

Durch den Angriff konnte der Hacker 4.090 Ether abziehen, was etwa 7,5 Millionen Dollar entspricht. Der Preis des Tokens (JIMBO) fiel daraufhin um 40 Prozent. Die Entwickler des Protokolls räumten den Vorfall ein und kündigten an, mit der Polizei und Experten für Cybersicherheit zusammenzuarbeiten, um die gestohlenen Coins einzufrieren, wenn möglich, und zu verhindern, dass sich solche Vorfälle wiederholen.

Quick update:

We are already working with multiple security researchers and on-chain analysts who helped with both the Euler Finance and Sentiment exploits.

We will start working with law enforcement agencies tomorrow by 4PM UTC if this isn’t sorted out by then.

— Jimbos Protocol (v2, soon) (@jimbosprotocol) May 28, 2023